La seguridad y la portabilidad no son características que agregamos al final. Son decisiones arquitectónicas de cada línea del código.
tenant_id en cada tabla, cada llamada a la API, cada entrada de auditoría. Una clave de API resuelve un cliente. Los datos de un cliente nunca tocan los de otro. Sin opciones, sin configuración: es estructural del esquema.
Cada cambio en una política, en una regla, en una corrección humana, queda en audit_log con caller_user_id denormalizado. Sin JOINs, sin reconstruir conversaciones, sin pretextos. La firma del JWT que llamó a la API queda en el mismo renglón que la decisión.
AES-256 en reposo, TLS 1.3 en tránsito. Claves de API nunca almacenadas en claro — solo el hash SHA-256 vive en la base de datos. Credenciales OAuth rotadas automáticamente, refresh tokens con cadena de rotación auditable.
Arquitectura hexagonal: el código no sabe si corre en Cloud Run, en tu propio centro de datos con Postgres y MinIO, o en una laptop. Cinco puertos abstraen Storage, Queue, Database, LLM y Notifier. Cambias el adaptador, no el agente. El plan de despliegue en infraestructura cliente está escrito y se activa por contrato.
Más de 900 pruebas automatizadas en cada cambio. La validación regulatoria completa — un expediente real disparando una regla y produciendo decisión auditable de extremo a extremo — corre contra producción cada despliegue. No es ambiente de pruebas: es Cloud Run, Neon y Anthropic real. Si el smoke regulatorio rompe, la revisión no entra a producción.
Cero comités de seguridad de seis meses. Las decisiones de arquitectura están en el código y la lista está aquí.